En la mañana del sábado 31 de enero se ha detectado el envío de un
virus a los suscriptores de las alertas del Centro de Alerta Temprana
Antivirus. Los primeros indicios apuntan a que un fallo en la
configuración de la lista de distribución ha permitido al gusano
Sober.C enviarse como si se tratara de un mensaje legítimo del CATA
a todos sus suscriptores, a través de su propio servidor de correo.
El Centro de Alerta Temprana Antivirus
(http://www.alerta-antivirus.es/) es un servicio ofrecido por red.es,
Entidad Pública Empresarial adscrita al Ministerio de Ciencia y
Tecnología a través de la Secretaría de Estado de Telecomunicaciones y
para la Sociedad de la Información. Entre sus servicios ofrece la
posibilidad de suscribirse a unas listas de correo de informes sobre
los últimos virus informáticos.
A partir de las 12 del mediodía del sábado 31 de enero los
suscriptores del servicio de alertas del Centro de Alerta Temprana
Antivirus han podido recibir en sus buzones un mensaje, enviado desde
la dirección cat@alertaantivirus.es, con el asunto “a trojan is on
your computer” y el siguiente texto:
hi, I am from Austria and you'll don't believe me,
but a trojan horse in on your pc.
I've scanned the network-ports on the internet. (I know, that's
illegal)
And I have found your pc. Your pc is open on the internet for
everybody!
Because the lsass.exe trojan is running on your system.
Check this, open the task manager and try to stop that!
You'll see, you can't stop this trojan.
When you use win98/me you can't see the trojan!!
On my system was this trojan, too!
And I've found a tool to kill that bad thing.
I hope that I've helped you!
Sorry for my bad english!
greets
El mensaje contenía adjunto un archivo con nombre
“remove-Isass-patch.exe” que en realidad era una copia del gusano
“Sober.C”.
Las cabeceras del mensaje indican que el origen del mensaje puede ser
una IP que corresponde a una ADSL de Telefónica, probablemente un
usuario infectado por el gusano. La hipótesis que se maneja de momento
es que un error en la configuración del sistema de moderación y
publicación de las listas del CATA ha podido causar que el mensaje, una
vez recibido por el servidor del CATA, haya sido distribuido a todos
sus suscriptores como un envío legítimo.
El texto del mensaje no tiene la forma de las habituales alertas del
CAT, y además está en inglés, lo que ha podido levantar rápidamente
las sospechas de los usuarios que lo hayan recibido y minimizar el
impacto del mismo. Sin embargo, no descartamos que el hecho de que
apareciera enviado desde el CAT pueda haber confundido a los usuarios
menos precavidos y haber provocado alguna infección aislada.
Desde Hispasec hemos enviado varios mensajes a direcciones del CATA
advirtiendo del incidente, sin que al final del día hayamos recibido
respuesta alguna. Pasadas más de 12 horas desde el envío del gusano
tampoco se ha detectado que el CATA haya alertado a través de su
lista a los posibles suscriptores afectados.
A la espera de la versión oficial y conocer con exactitud los
detalles del incidente, consideramos que premia avisar a los usuarios
para evitar, en la medida de la posible, cualquier infección.
antonior@hispasec.com
Bernardo Quintero
bernardo@hispasec.com
Deja un comentario